Банки не удалось запугать IT-угрозами

Компания AHConferences провела конференцию «IT-безопасность в финансовом секторе», на которую собрала IT-специалистов и специалистов по информационной безопасности (ИБ) финансовых учреждений

Компания AHConferences провела конференцию «IT-безопасность в финансовом секторе», на которую собрала IT-специалистов и специалистов по информационной безопасности (ИБ) финансовых учреждений.

Для начала «банкиров» решила напугать своими данными об IT-угрозах в кризисное время компания «Лаборатория Касперского». В частности, консультант-аналитик антивирусной фирмы Андрей Соловьев изложил взгляд компании на изменения, происходившие на рынке ИБ в прошлом году. По данным «Лаборатории Касперского», потери компаний от успешных кибер-атак уменьшились. В том числе благодаря тому, что организации стали понимать, что им следует защищаться. Правда, у многих из них представления о правильной защите достаточно общие и не глубокие. Так, по словам Соловьева, компании часто при выборе антивирусного решения или системы информационной безопасности смотрят преимущественно на цену продукта, а не на функциональность. Более того, многие из них останавливаются на приобретении соответствующего решения и его внедрении. Однако дальнейшая работа — формирование политик ИБ, регламентов и т. п. — ими, как правило, не ведется. «У них нет понимания, что обеспечение информационной безопасности — это процесс», говорит Андрей Соловьев. В результате, рост заражений вредоносными программами продолжается.

Продолжается, по данным «Лаборатории Касперского», и рост числа вредоносных объектов (вирусов, троянских программ, их модификаций и др.). По результатам прошлого года, компания выявила почти 34 млн зловредных программ (в 2008 году их было немногим менее 20 млн). Нагнетая атмосферу, Соловьев уточнил, что в день выпускается около 55 тысяч новых вредоносных объектов.

Помимо количественного изменения IT-угроз, произошла их качественная трансформация. Начиная с 2007 года «зловреды» стали маскироваться и скрываться от антивирусных программ.

Говоря о результатах 2009 года, Соловьев отметил изменение фокуса атаки вредоносных программ — в настоящее время особенно популярным стало заражение сайтов, откуда и происходит непосредственное заражение пользовательских компьютеров. При этом «Лаборатория Касперского» указала, что если в 2007 году зараженными оказалось около 0,11% от общего числа интернет-сайтов, то в 2008 году этот показатель увеличился до 0,35%, а в прошлом — до 0,64%. То есть сейчас заражен и потенциально опасен для пользователя один из 160 сайтов.

Что касается кризиса, то он повлиял и на рынок IT-угроз. В частности, если в 2008 году значительная часть киберпреступлений была связана с кражами аккаунтов online-игр, то в прошлом году, по данным «Лаборатории Касперского», когда денег в Сети стало меньше и пользователи уже не были готовы платить за свои «прокаченные» игровые персонажи, кибератаки стали направляться непосредственную на кражу денег. Например, через системы дистанционного банковского обслуживания. При этом изменилась и география атак. Киберпреступники стали больше уделять внимания более благополучным странам: США, странам Европы и даже России.

«В целом, — говорит Соловьев, — давление «зловредов» будет нарастать. Поэтому компаниям необходимо более тщательно подходить к вопросам обеспечения своей информационной безопасности». Конечно, сотрудник «Лаборатории Касперского» указывал, что продукты его фирмы могут справиться с имеющимися киберугрозами. В то же время Андрей Соловьев отмечал, что в настоящее время наиболее эффективными считаются мультивендорные системы информационной безопасности. Хотя они менее гибкие и более сложные в управлении по сравнению с моновендорными решениями.

Однако участники конференции оказались не робкого десятка. Более того, сами были готовы пугать. Особенно этим отличился начальник отдела защиты информации «Банка Москвы» Василий Окулесский, который на примере работы своего банка поделился с коллегами собственным видением IT-угроз для финансового сектора и оценил эффективность борьбы с ними.

По его словам, проблема информационной безопасности банков, особенно их систем дистанционного банковского обслуживания (ДБО), актуальна как никогда. В том числе потому, что многие клиенты банков сегодня предпочитают работать через Интернет. Ссылаясь на данные ФБР, Окулевский отметил, что в США объемы мошенничества в Сети за 2009 год увеличились по сравнению с показателем 2008 года почти в два раза достигли 560 млн долларов. При этом число «сетевых» финансовых правонарушений увеличилось с 275 тысяч до 336 тысяч

Для России киберущерб никто не считал, но по оценке Василия Окулесского, он соотносится с потерями в США втой же пропорции, что и ВВП двух стран. То есть приблизительно в 100 раз меньше, чем в США. (ВВП США за 2009 год можно оценить в 344 трлн рублей, а ВВП России составил 39 трлн рублей.). Также сотрудник «Банка Москвы» указал на то, что по данным МВД РФ, число случаев интернет-мошенничества в России увеличилось на 30%, объемы киберпреступлений в денежном выражении возросли увеличились в три раза, а число привлеченных к ответственности уменьшилось.

«Причины такого развития ситуации, — говорит Окулесский, — носят не технологический, а информационный характер. То есть банки и их клиенты недостаточно информированы об опасности использования Интернета для совершения финансовых операций и уделяют мало внимания обеспечению своей интернет-безопасности». Еще одной причиной роста объемов интернет-мошенничества было названо использование нелицензионного ПО: «когда человек использует нелицензионную версию ОС Windows, он соответственно не включает имеющийся в ней центр информационной безопасности и поэтому не может устанавливать обновления, которые, в числе прочего, затрагивают вопросы безопасности. А установившие на такой ОС антивирусные решения, даже если они лицензионные, надеются на то, что ОС будет выполнять свой спектр задач в области ИБ. Но этого не происходит и антивирусы пропускают на машину пользователя вредоносные объекты, которые используют уязвимости операционной системы, не закрытые соответствующими обновлениями».

А ведь помимо общесистемного ПО имеются и прикладные программные продукты. Те же системы ДБО, которые, по мнению Василия Окулесского, имеют множество недостатков. В частности, они «страдают» алгоритмическими дырами, которые позволяют троянским программам перехватывать и подменять платежные поручения при проведении процедуры их подписи. А все потому, что в системе «компьютер – ключ электронной цифровой подписи» имеется неподконтрольный пользователю канал передачи данных между ПК и чипом ключа ЭЦП. Такую «дыру», по словам Окулесского, могут закрыть специалисты-криптографы. Но разработчики систем ДБО таких специалистов не привлекают, а то и не имеют представления о наличии таких «дыр».

Василий Окулесский отметил также, что клиентам банков несет угрозу использование банковских карт для расчета в интернет-магазинах, далеко не все из которых предоставляют сервис по безопасному расчету с покупателями. Кроме того, в последнее время в России стало активно развиваться направление интернет-мошенничества по использованию банковских карт для пополнения счетов виртуальных денег. «Появление и введение в обиход каждого такого нового удобства ведет к непредсказуемым последствиям в области безопасности как пользователей, так и организаций», — утверждает Василий Окулесский.

Он поделился с коллегами некоторыми рекомендациями по уменьшению рисков от названных кибер-угроз, выработанными на основании опыта работы «Банка Москвы». В частности, он посоветовал использовать в работе банков системы online-анализа проведенных транзакций, выпускать специальные чиповые банковские карты, «электронные кошельки» и «виртуальные» карты, предназначенные специально для проведения интернет-платежей. Помимо технологических, были сделаны и организационные рекомендации. Здесь Василий Окулесский предложил задействовать SMS-информирование клиентов о всех операциях по счетам, подготовить специальные инструкции службам ДБО по чрезвычайным обстоятельствам, проводить информирование клиентов через интернет-сервисы о мерах безопасности, организовать контроль IP-адресов, с которых клиенты могут проводить операции в системах ДБО и т. п.

Непосредственным опытом построения системы обеспечения информационной безопасности (СОИБ) банка на конференции поделился заместитель начальника отдела экономической безопасности банка «Экспресс-Тула» Михаил Симаков. В своем докладе он представил и подробно рассказал о ходе выполнения мероприятий по созданию СОИБ. Причем не только технических, на которые приходится лишь незначительная часть построения такой системы. По его словам, создание комплексной СОИБ, а не подогнанного под требования стандартов и нормативов набора решений, представляет собой процесс выполнения организационных, юридических, документационных, технических, контрольных и кадровых мероприятий. Соответственно в таком процессе должна участвовать команда специалистов, включающая в себя представителей руководства банка, бизнес-подразделений, службы безопасности, юридической и IT-служб. По мнению Симакова, только при наличие команды и именно такого состава возможно построение полноценной СОИБ банка.